スキル auth-analyzer
🔐

auth-analyzer

安全 🌐 ネットワークアクセス⚙️ 外部コマンド🔑 環境変数

認証セキュリティを分析

認証と認可の脆弱性は、アプリケーションに深刻なセキュリティリスクをもたらします。このスキルは、コードパターンの専門的な分析を提供し、悪用される前にセキュリティの欠陥を特定して修正します。

対応: Claude Codex Code(CC)
⚠️ 68 貧弱
1

スキルZIPをダウンロード

2

Claudeでアップロード

設定 → 機能 → スキル → スキルをアップロードへ移動

3

オンにして利用開始

テストする

「auth-analyzer」を使用しています。 Use auth-analyzer to review our login implementation for security issues

期待される結果:

  • Password Storage: Uses bcrypt with cost factor of 12 - GOOD
  • Session Management: Cookie lacks secure flag - MEDIUM RISK
  • Rate Limiting: Not implemented - HIGH RISK for brute force attacks
  • Recommendations: Add rate limiting, enable secure cookie flag, consider MFA

「auth-analyzer」を使用しています。 Analyze our JWT implementation for security problems

期待される結果:

  • Token Signing: HS256 algorithm with strong secret - GOOD
  • Expiration: No expiration set - CRITICAL RISK
  • Signature Verification: None (base64 decode only) - CRITICAL RISK
  • Remediation: Add short expiration, implement HS256 verification, use algorithm whitelist

「auth-analyzer」を使用しています。 Check our API authorization for IDOR vulnerabilities

期待される結果:

  • Endpoint GET /users/:id: No ownership check found - HIGH RISK
  • Endpoint PUT /posts/:id: Missing authorization middleware - CRITICAL RISK
  • Role-based access: Admin role has unrestricted permissions - MEDIUM RISK
  • Recommendations: Add ownership validation, implement requirePermission middleware, apply least privilege

セキュリティ監査

安全
v5 • 1/16/2026

This is a pure prompt-based educational skill containing only instructional content and code examples demonstrating security patterns. No executable code, network calls, filesystem access, or external command execution exists. The static scanner incorrectly flagged educational code examples (marked as insecure patterns to avoid) as actual vulnerabilities. The skill teaches AI assistants to analyze authentication code for security flaws and provide remediation guidance.

2
スキャンされたファイル
1,356
解析された行数
3
検出結果
5
総監査数

リスク要因

🌐 ネットワークアクセス (9)
skill-report.json:6 SKILL.md:614 SKILL.md:261 SKILL.md:262 SKILL.md:265 SKILL.md:695 SKILL.md:701 SKILL.md:907 SKILL.md:972
⚙️ 外部コマンド (71)
SKILL.md:55-83 SKILL.md:83-86 SKILL.md:86-100 SKILL.md:100-105 SKILL.md:105-128 SKILL.md:128-131 SKILL.md:131-158 SKILL.md:158-163 SKILL.md:163-224 SKILL.md:224-227 SKILL.md:227-250 SKILL.md:250-255 SKILL.md:255-298 SKILL.md:298-305 SKILL.md:305-339 SKILL.md:339-342 SKILL.md:342-378 SKILL.md:378-382 SKILL.md:382-427 SKILL.md:427-431 SKILL.md:431-439 SKILL.md:439-443 SKILL.md:443-477 SKILL.md:477-489 SKILL.md:489-498 SKILL.md:498-504 SKILL.md:504-513 SKILL.md:513-533 SKILL.md:533-536 SKILL.md:536-563 SKILL.md:563-576 SKILL.md:576-593 SKILL.md:593-602 SKILL.md:602-611 SKILL.md:611-616 SKILL.md:616-620 SKILL.md:620-629 SKILL.md:629-658 SKILL.md:658-671 SKILL.md:671-690 SKILL.md:690-693 SKILL.md:693-705 SKILL.md:705-714 SKILL.md:714-750 SKILL.md:750-763 SKILL.md:763-778 SKILL.md:778-781 SKILL.md:781-786 SKILL.md:786-789 SKILL.md:789-818 SKILL.md:818-831 SKILL.md:831-849 SKILL.md:849-871 SKILL.md:871-880 SKILL.md:880-907 SKILL.md:907-908 SKILL.md:908-952 SKILL.md:952-969 SKILL.md:969-975 SKILL.md:975-978 SKILL.md:978-990 SKILL.md:990-1029 SKILL.md:1029-1041 SKILL.md:1041-1066 SKILL.md:1066-1077 SKILL.md:1077-1080 SKILL.md:1080-1083 SKILL.md:1083-1090 SKILL.md:1090-1165 SKILL.md:971 SKILL.md:969-975
🔑 環境変数 (16)
SKILL.md:112 SKILL.md:174 SKILL.md:187 SKILL.md:197 SKILL.md:263 SKILL.md:264 SKILL.md:642 SKILL.md:1085 SKILL.md:112 SKILL.md:174 SKILL.md:187 SKILL.md:197 SKILL.md:263 SKILL.md:264 SKILL.md:642 SKILL.md:1085
監査者: claude 監査履歴を表示 →

品質スコア

38
アーキテクチャ
100
保守性
87
コンテンツ
30
コミュニティ
100
セキュリティ
70
仕様準拠

作れるもの

コードセキュリティレビュー

セキュリティ評価と監査中に脆弱性について認証コードをレビュー

セキュアコーディングガイダンス

アプリケーションに安全な認証と認可を実装するためのベストプラクティスを学習

コンプライアンスチェック

認証実装がセキュリティとコンプライアンス要件を満たしていることを検証

これらのプロンプトを試す

基本分析 
Use the auth-analyzer skill to review this authentication code for security vulnerabilities and provide remediation advice
JWTレビュー 
@auth-analyzer Analyze this JWT implementation for security issues including signature verification, token expiration, and algorithm vulnerabilities
認可監査 
@auth-analyzer Review this authorization system for broken access control, privilege escalation, and IDOR vulnerabilities
完全なセキュリティレポート 
@auth-analyzer --report Analyze all authentication and authorization patterns in this code and generate a comprehensive security report with severity ratings

ベストプラクティス

  • アルゴリズム混同攻撃を防ぐため、常にJWT署名を検証し、許可されたアルゴリズムを指定する
  • セッション固定を防ぐため、認証成功後にセッションを再生成する
  • 保護されたリソースにアクセスするすべてのエンドポイントで適切な認可チェックを実装する

回避

  • ソルトなしでMD5またはSHA1でパスワードを保存 - レインボーテーブル攻撃を可能にする
  • 署名検証なしでデコードによってJWTトークンを検証
  • 認可決定にクライアントが提供したロール値を信頼

よくある質問

このスキルをサポートするAIツールはどれですか?
auth-analyzerスキルは、Claude、Codex、Claude Codeで動作します。プロンプトの前に@auth-analyzerを付けるだけで、セキュリティの専門知識が有効になります。
どの認証パターンを分析しますか?
パスワードハッシュ、JWTトークン、セッション管理、OAuthフロー、RBAC、ABACをレビューし、OWASP Top 10コンプライアンスの問題をチェックします。
このスキルはコードを変更しますか?
いいえ。このスキルはコードパターンのみを分析し、推奨事項を提供します。プロジェクト内のファイルやコードを書き込んだり変更したりすることはありません。
コードデータが外部サービスに送信されますか?
いいえ。すべての分析はAIセッション内で行われます。コード例はローカルで処理され、外部サーバーに送信されることはありません。
なぜ認証の脆弱性が報告されるのですか?
アクセス制御の破損と認証の失敗は、OWASPの最上位のセキュリティリスクです。このスキルは、デプロイ前にこれらの問題を特定するのに役立ちます。
これは手動コードレビューと比較してどうですか?
このスキルは、確立されたセキュリティパターンに基づいて一貫した分析を提供します。徹底的な手動セキュリティレビューを補完しますが、置き換えるものではありません。

開発者の詳細

作成者

CuriousLearner

ライセンス

MIT

リポジトリ

https://github.com/CuriousLearner/devkit/tree/main/skills/auth-analyzer

参照

main

ファイル構成

📄 SKILL.md